07 de outubro de 2016, | Por
Christopher Burgess
Traduzido
por Afonso Henrique Rodrigues Alves
National Cyber Security Awareness Month (NCSAM) é
um evento para refletir sobre como cada um de nós podemos ajudar a restabelecer
a segurança em nossas empresas, empregados e nos clientes. Ao longo de outubro,
os profissionais de segurança e entusiastas em todo o país estão espalhando
conhecimento e consciência. Confiança é a chave para qualquer transação entre
uma empresa e seus clientes ou parceiros. Marketing e vendas estão a criar e
distribuir papéis em abundância para explicar os mais recentes e as maiores
soluções tecnológicas. Embora estes materiais são muitas vezes criticados, eles
oferecem grande valor que permite que a equipe de vendas possa colocar suas
prioridades.
Construção
de confiança durante o mês da consciência Cyber Security
Os
profissionais de saúde aconselham-nos a realizar auto inspeções de nossos
corpos para alterações ou anomalias, uma vez que são claramente especialistas
em nosso próprio corpo. Durante o mês da consciência Cyber Security, os
líderes de segurança devem aplicar este princípio aos seus ambientes de TI. É o
Chefe oficial do trabalho de confiança (CTrO) que constrói a confiança entre a
organização e seus clientes. Um exame da postura de segurança da organização
pode iniciar o diálogo sobre essa confiança. Cada empresa, grande ou pequena, tem
a capacidade de rever as suas infraestruturas, dependências e processos de
acordo com o formato da Statement on Standards for Attestation Engagements (SSAE) No. 16, or SSAE-16, que substitui o SAS-70 in 2011.
SSAE-16
A
SSAE-16 é um atestado de saúde e bem-estar da empresa. A SSAE-16 é dividido em
dois tipos de Serviço de Controle de Organização (SOC), estruturas de
relatórios. O Tipo I relatório contém a descrição do seu projeto de sistema e
controle para atender a um objetivo específico em um ponto no tempo (por
exemplo, em conformidade SOX). O relatório Tipo II descreve o sistema e
controles que são projetados para atender os objetivos de controle ao longo de
um período de tempo (por exemplo, o próximo ano de operação). Os critérios do
SOC-1 parecem notavelmente semelhantes aos do SAS-70. Os critérios SOC-2
baseiam-se na disponibilidade de serviços. O propósito do mês da
consciência Cyber Security, o SOC-2 centra-se na confiança. Isto
abrange a segurança, a disponibilidade, o processamento, a confidencialidade e
privacidade, e que abrange as várias categorias de políticas, procedimentos,
monitoramento e comunicação. Considerando que o SOC-1 e SOC-2 são documentos em
grande parte internas que seriam compartilhados somente sob a proteção de um
acordo de confidencialidade, um relatório SOC-3 é projetado para o público. Ele
contém um relatório sobre se o sistema pode ser confiável, com base na
auditoria do SOC-1 e SOC-2.
ISO
27001
A
Organização Internacional de Serviço (ISO) 27001 é semelhante, mas mais
complexa. A certificação ISO 27001 fala em quantidade para os clientes. IBM
MaaS360, por exemplo, recentemente obteve a certificação ISO 27001. ISO 27001
incide especificamente sobre os sistemas de gestão de segurança da informação
(SGSI). Isto inclui as pessoas, processos e sistemas de TI. Líderes de
segurança devem rever o ISO 27001, localizar as especificações que se aplicam
imediatamente e realizar uma autoexame no
que respeita à realização dos critérios descritos. Esse autoexame é uma segunda
etapa excelente para identificar o fruto maduro e determinar se consultores
externos ou auditores são necessários para se preparar para a certificação ISO
27001. Como observado no anúncio certificação MaaS360, a certificação ISO 27001
é composto por 14 categorias de controle com 114 controles separados, que
incidem sobre:
• Gestão
de ativos;
• Controle
de acesso;
• Criptografia;
• Segurança
Operacional;
• Desenvolvimento
de sistema; e
• Manutenção.
Implementação
e Certificação
Os
membros da Auditoria e Controle de Associação de Sistemas de Informação (ISACA)
são muitas vezes chamados para ajudar com a preparação dos SSAE-16 e ISO 27001.
A organização sem fins lucrativos fornece orientações sobre a implementação e
medição do ISO 27001 desde a certificação que exige um acompanhamento dinâmico
e contínuo de todos os sistemas. De acordo com a ISACA, "os custos de
implementação são movidos pela percepção de risco e quanto risco uma
organização está disposta a aceitar." Ele identifica quatro áreas chave de
custos associados com a implementação da ISO 27001:
• recursos
internos;
• Os
recursos externos;
• Certificação;
e
•
Implementação.
Mês da
consciência da Cyber Security lembra-nos coletivamente a reavaliar nossa
posição atual na segurança. Todos nós desejamos angariar a confiança dos nossos
clientes, clientes e parceiros. Atestados como o SSAE-16 e certificações, como
o ISO 27001 percorrem um longo caminho para ajudar qualquer organização a
confiar mais no sistema. Líderes de segurança devem investir recursos na
documentação de segurança, e eles não devem esperar até o próximo mês da
consciência da National Cyber Security para começar.
CEO at Prevendra
Christopher Burgess is the CEO of Prevendra, a
security, privacy, and intelligence company. He is also an
author, speaker, and advocate for effective security strategies, be
they for your company, home or family. Christopher co-authored "Secrets
Stolen, Fortunes Lost: Preventing Intellectual Property Theft and Economic
Espionage in the 21st Century" (Syngress, March 2008) and authored the
e-book, "Senior Online Safety" (Prevendra, March 2014) and is the
voice behind the website, "Senior Online Safety." Prior to the
founding of Prevendra, Christopher held a variety of private and public sector
positions, which included, chief operating officer and chief security
officer of a big data analytic company, Atigeo; Senior Security Advisor to the
CSO of Cisco, a Fortune 100, and 30+ years within the Central Intelligence
Agency. The CIA awarded him the Distinguished Career Intelligence Medal upon
his retirement. Christopher resides in Woodinville, WA with his family,
two dogs, and two horses.
No comments:
Post a Comment